/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
racoon og ipsec-tools på ubuntu 8.04
Fra : Svend


Dato : 10-06-08 14:00

Hej

Er der nogen der har rodet med ipsec på ubuntu 8.04 ?

Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
laver nogen routes, så al trafik til modtager remote bliver sendt ud på
internettet.


Nogen der har lidt input eller ideér ?

Mvh.
Svend

Jun 10 14:57:01 host racoon: INFO: accept a request to establish IKE-SA:
<remote wan>
Jun 10 14:57:01 host racoon: INFO: initiate new phase 1 negotiation:
<wan>[500]<=><remote wan>[500]
Jun 10 14:57:01 host racoon: INFO: begin Identity Protection mode.
Jun 10 14:57:01 host racoon: INFO: received Vendor ID: DPD
Jun 10 14:57:01 host racoon: WARNING: ignore INITIAL-CONTACT
notification, because it is only accepted after phase1.
Jun 10 14:57:01 host racoon: INFO: ISAKMP-SA established
<wan>[500]-<remote wan>[500] spi:451b0e2a7a06019d:1c973d20559c1c6a



setkey -DP :

<remote lan>/24[any] <lan>/24[any] any
in ipsec
esp/tunnel/<wan>-<remote wan>/require
created: Jun 10 07:47:45 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2328 seq=1 pid=16573
refcnt=1
<lan>/24[any] <remote lan>/24[any] any
out ipsec
esp/tunnel/<remote wan>-<wan>/require
created: Jun 10 07:47:45 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2345 seq=2 pid=16573
refcnt=1
<remote lan>/24[any] <lan>/24[any] any
fwd ipsec
esp/tunnel/<wan>-<remote wan>/require
created: Jun 10 07:47:45 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2338 seq=3 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2315 seq=4 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2299 seq=5 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2283 seq=6 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2267 seq=7 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2251 seq=8 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2235 seq=9 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2324 seq=10 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2308 seq=11 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2292 seq=12 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2276 seq=13 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2260 seq=14 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2244 seq=0 pid=16573
refcnt=1

 
 
Kent Friis (10-06-2008)
Kommentar
Fra : Kent Friis


Dato : 10-06-08 18:19

Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
> Hej
>
> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>
> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
> internettet.
>
>
> Nogen der har lidt input eller ideér ?

Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
krypterings-nøgler, ikke at route trafikken.

Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Svend (11-06-2008)
Kommentar
Fra : Svend


Dato : 11-06-08 06:20

Kent Friis wrote:
> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>> Hej
>>
>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>
>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>> internettet.
>>
>>
>> Nogen der har lidt input eller ideér ?
>
> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
> krypterings-nøgler, ikke at route trafikken.
>
> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>
> Mvh
> Kent

Jamen det er da helt givet jeg mangler noget forståelse af hvad der
sker, det er første gang jeg roder med ipsec på linux.

Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?


--
Svend


setkey.conf :

#!/usr/sbin/setkey -f
#
# Flush SAD and SPD
flush;
spdflush;
# Create policies for racoon
spdadd <remote lan>/24 <lan>/24 any -P in ipsec esp/tunnel/<wan>-<remote
wan>/require;
spdadd <lan>/24 <remote lan>/24 any -P out ipsec
esp/tunnel/<remote wan>-<wan>/require;

Kent Friis (11-06-2008)
Kommentar
Fra : Kent Friis


Dato : 11-06-08 17:40

Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
> Kent Friis wrote:
>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>> Hej
>>>
>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>
>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>> internettet.
>>>
>>>
>>> Nogen der har lidt input eller ideér ?
>>
>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>> krypterings-nøgler, ikke at route trafikken.
>>
>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>
> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
> sker, det er første gang jeg roder med ipsec på linux.
>
> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?

Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
et sæt ip-numre i mit setup).

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Svend (11-06-2008)
Kommentar
Fra : Svend


Dato : 11-06-08 19:28

Kent Friis wrote:
> Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
>> Kent Friis wrote:
>>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>>> Hej
>>>>
>>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>>
>>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>>> internettet.
>>>>
>>>>
>>>> Nogen der har lidt input eller ideér ?
>>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>>> krypterings-nøgler, ikke at route trafikken.
>>>
>>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
>> sker, det er første gang jeg roder med ipsec på linux.
>>
>> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?
>
> Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
> eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
> et sæt ip-numre i mit setup).
>
> Mvh
> Kent

Det kan da ikke være den interne ip da den er en del af det der skal
routes. Hvis det er den eksterne gateway vil min box bare route det ud
på nettet.

mangler der ikke et virtuelt device ?

--
Svend

Kent Friis (11-06-2008)
Kommentar
Fra : Kent Friis


Dato : 11-06-08 19:44

Den Wed, 11 Jun 2008 20:28:13 +0200 skrev Svend:
> Kent Friis wrote:
>> Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
>>> Kent Friis wrote:
>>>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>>>> Hej
>>>>>
>>>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>>>
>>>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>>>> internettet.
>>>>>
>>>>>
>>>>> Nogen der har lidt input eller ideér ?
>>>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>>>> krypterings-nøgler, ikke at route trafikken.
>>>>
>>>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>>> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
>>> sker, det er første gang jeg roder med ipsec på linux.
>>>
>>> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?
>>
>> Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
>> eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
>> et sæt ip-numre i mit setup).
>
> Det kan da ikke være den interne ip da den er en del af det der skal
> routes. Hvis det er den eksterne gateway vil min box bare route det ud
> på nettet.

Men der er jo netop en regel om at trafik til den ip skal være
krypteret.

> mangler der ikke et virtuelt device ?

Nej, det bruges ikke i den nuværende ipsec-implementation.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Svend (11-06-2008)
Kommentar
Fra : Svend


Dato : 11-06-08 20:25

Kent Friis wrote:
> Den Wed, 11 Jun 2008 20:28:13 +0200 skrev Svend:
>> Kent Friis wrote:
>>> Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
>>>> Kent Friis wrote:
>>>>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>>>>> Hej
>>>>>>
>>>>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>>>>
>>>>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>>>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>>>>> internettet.
>>>>>>
>>>>>>
>>>>>> Nogen der har lidt input eller ideér ?
>>>>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>>>>> krypterings-nøgler, ikke at route trafikken.
>>>>>
>>>>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>>>> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
>>>> sker, det er første gang jeg roder med ipsec på linux.
>>>>
>>>> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?
>>> Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
>>> eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
>>> et sæt ip-numre i mit setup).
>> Det kan da ikke være den interne ip da den er en del af det der skal
>> routes. Hvis det er den eksterne gateway vil min box bare route det ud
>> på nettet.
>
> Men der er jo netop en regel om at trafik til den ip skal være
> krypteret.
>
>> mangler der ikke et virtuelt device ?
>
> Nej, det bruges ikke i den nuværende ipsec-implementation.
>
> Mvh
> Kent


Noget siger mig at phase 2 ikke bliver startet. dvs ipsec delen.

ifølge <http://www.ipsec-howto.org/x299.html> skal der være mere i loggen.

--
Svend

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste